Wired Equivalent Privacy

WEP (Wired Equivalent Privacy, tj. soukromí ekvivalentní drátovým sítím) je v informatice označení pro zastaralé zabezpečení bezdrátových sítí podle původního standardu IEEE 802.11 z roku 1997. Cílem WEP bylo poskytnout zabezpečení obdobné drátovým počítačovým sítím (např. kroucená dvojlinka),^[1] protože rádiový signál je možné snadno odposlouchávat i na delší vzdálenost bez nutnosti fyzického kontaktu s počítačovou sítí.

WEP bylo po dlouhou dobu výchozí a někdy i jedinou volbou zabezpečení v konfiguračních nástrojích routerů a přístupových bodů. Po nalezení závažných chyb v používané šifře RC4 byl WEP v srpnu 2001 prolomen^[2] a přestal být považován za bezpečný. V roce 2003 Wi-Fi aliance oznámila, že se WEP nemá nadále používat a sítě Wi-Fi by ho měly nahradit jeho nástupcem Wi-Fi Protected Access (WPA).

U většiny zařízení (Wi-Fi hardwaru) z této éry, která byla navržena pro fungování s WEPem nebylo a stále není možné povýšit formu zabezpečení, většinou kvůli nedostatečnému výpočetnímu výkonu. Některá zařízení bylo možné softwarově povýšit na šifrování WEP2, které se pokoušelo adresovat a zbavit alespoň některých chyb v původním zabezpečení, avšak ten byl stejně jako WEP brzy po vydání prolomen a nikdy nedošlo k jeho širší adopci ani standardizaci.^[3]

Po plném přijetí standardu IEEE 802.11i (neboli WPA2) IEEE deklarovala, že se WEP-40 i WEP-104 stávají zastaralými.^[4] WPA však bohužel přejalo některé nelibé charakteristiky WEPu, které dodnes způsobují problémy.

Charakteristika

Na konci 90. let 20. století nastal prudký rozvoj a nasazování bezdrátových sítí. Ze své podstaty bezdrátové sítě poskytují menší nebo žádné soukromí, protože komunikaci lze odposlouchávat kdekoliv v dosahu rádiového signálu, který proniká i skrze pevné překážky. Proto bylo jako součást původního standardu IEEE 802.11 již v roce 1997 schváleno zabezpečení WEP, které mělo poskytnout obdobnou úroveň zabezpečení, jako má drátová počítačová síť (např. kroucená dvojlinka).

V bezdrátové počítačové síti pracuje WEP na linkové vrstvě, kde šifruje přenášené rámce pomocí proudové šifry RC4. Díky tomu není možné snadno číst odposlechnutý datový provoz přenášený v bezdrátové síti a není nutné měnit stávající síťové aplikace ani přenosové protokoly, protože šifrování je z jejich hlediska transparentní.

Takzvaný 64bitový WEP používá 40bitový klíč, ke kterému je připojen 24bitový inicializační vektor a dohromady tak tvoří 64bitový RC4 klíč. Delší 128bitový WEP používá 104bitový klíč, ke kterému je připojen 24bitový inicializační vektor a dohromady tak tvoří 128bitový RC4 klíč. Někteří výrobci bezdrátových zařízení poskytují obdobným způsobem 256bitový WEP. Pro ověření integrity dat používá WEP kontrolní součty CRC-32.

WEP autentizace

U WEP mohou být použity dvě metody autentizace Open system authentication a Shared key authentication.

Open system authentication

Při použití Open system authentication nemusí WLAN klient přístupovému bodu poskytnout své ověřovací údaje. Kterýkoliv klient se tak může s přístupovým bodem ověřit a pokusit se o spojení. Nedochází k žádné autentizaci. WEP klíče mohou být následně používány pro zakódování datového rámce, když bude mít klient správný klíč.

Shared key authentication

Při použití Shared key authentication slouží WEP klíč (často heslo) k autentizaci ve čtyřech krocích pomocí challenge-response (tzv. handshake:

1. Klient pošle žádost o autentizaci přístupovému bodu.
2. Přístupový bod pošle klientovi v otevřeném textu výzvu (challenge).
3. Klient zašifruje přijatou výzvu svým WEP klíčem a pošle ho zpět v dalším autentizačním dotazu (response).
4. Přístupový bod dešifruje svým klíčem odpověď. Pokud se shoduje s dříve odeslanou výzvou, odešle zpět pozitivní odpověď.

Po autentizaci a spojení je předsdílený WEP klíč použit také pro šifrování datového rámce pomocí RC4.

Porovnání bezpečnosti

Na první pohled by se mohlo zdát že Shared Key authentication je bezpečnější než Open system authentication, protože ta neposkytuje žádnou reálnou autentizaci. Ovšem je to spíše naopak. Je totiž možné odvodit klíč použitý k handshaku zachycením výzvy. Z toho důvodu mohou být data snadněji zachycena a dešifrována u Shared key než u Open Systém autentizace. Pokud je soukromí hlavním zájmem je lepší použít Open system authentication, pro ověřováni WEP. To ovšem také znamená, že jakýkoliv WLAN klient se může připojit k přístupovému bodu.

WEP je od roku 2004 obecně považován za nebezpečný.

Bezpečnostní detaily

Jelikož je RC4 proudová šifra, stejný klíč nesmí být nikdy použit dvakrát. Účelem inicializačního vektoru (IV), který je přenášen jako součást otevřeného textu, je zabránit opakování, ale 24bit IV není dost dlouhý, aby toto zajistil na vytížených sítích. Způsob jakým byl IV použit, také umožnilo u WEP použít related key attack. Pro 24bit IV je 50% šance že se ten samý IV zopakuje po 5000 paketech.

V Srpnu 2001 Scott Fluhrer, Itsik Mantin a Andi Shamir publikovali kryptoanalýzu WEP (viz útok Fluhrera, Mantina a Šamira), která zneužívala způsob, jakým jsou šifra RC4 a IV u WEPu použity. Výsledkem byl pasivní útok, který dokázal získat RC4 klíč odposloucháváním sítě. V závislosti na provozu v síti a tím pádem počtu paketů přístupných k prozkoumání mohlo úspěšné obnovení klíče zabrat i méně než jednu minutu. Pokud je posílán nedostatečný počet paketů, má útočník možnost posílat do sítě pakety vlastní a tím pádem stimulovat pakety s odpověďmi, které mohou být prozkoumány k nalezení klíče. Poměrně záhy byly provedeny implementace tohoto útoku a publikovány nástroje pro jeho provedení. Tento útok je možné provést s osobním počítačem s běžným hardwarem a volně dostupným softwarem, například aircrack-ng, k prolomení WEP klíče během několika minut. Cam-Winget et al. ^[5] prozkoumal řadu nedostatků ve WEP. Píší: „Praktické experimenty ukazují, že se správným vybavením je možné odposlouchávat sítě chráněné WEP ze vzdálenosti jedné míle nebo více od cíle.“. Také nahlásil dvě obecné slabosti:

• použití WEP bylo volitelné, čili jej hodně instalací nikdy neaktivovalo
• ve výchozím nastavení WEP spoléhá na jeden sdílený klíč mezi uživateli, což vede k problémům při zvládání kompromitací, což často vede k úplnému ignorování kompromitací.

V roce 2005 skupina z FBI demonstrovala prolomení sítě chráněné pomocí WEP během 3 minut za použití běžně dostupných prostředků.^[6]

V roce 2006 ukázali Bittau, Handley a Lackey že samotný protokol 802.11 může být použit proti WEP k umožnění útoků, které byly dříve považovány za nepraktické či neproveditelné. Po odposlechnutí jednoho paketu může útočník rychle posílat libovolná data. Odposlechnutý paket lze pak rozkódovat byte po bytu (posláním zhruba 128 paketů na byte) k objevení IP adres v místní síti. Pokud je 802.11 síť připojená k internetu, může útočník využít fragmentace 802.11 k „přehrání“ odposlechnutých paketů a přepsání jejich IP hlaviček. Přístupový bod poté může být použit k jejich rozkódování a předání kamarádovi na internetu, což umožňuje dekódování provozu na WEP síti během minuty od zachycení prvního paketu.

V roce 2007 Erik Tews Andrei Pachkine a Ralf-Philipp Weinmann byli schopní rozšířit Kleinův útok z roku 2005 a optimalizovat ho pro použití proti WEP. S jejich novým útokem je možné získat 104bit WEP klíč s pravděpodobností 50% za použití pouze 40 000 zachycených paketů. Pro 60 000 paketů je šance zhruba 80% a pro 85 000 paketů zhruba 95%. Použitím aktivních technik jako deauth a ARP re-injection, může být 40 000 paketů zachyceno za méně než minutu.

V roce 2008 aktualizace Data Security Standardu (DSS) Payment Card Industry (PCI) Security Standard Council zakazuje použití WEP jako součást jakéhokoliv zpracování platebních karet po 30. červnu 2010.

Náhrady za WEP

Kvůli prolomení WEP byla na trh uvedena různá řešení, jejichž úkolem bylo umožnit bezpečnou komunikaci v bezdrátové síti. Oficiálním nástupcem bylo WPA a v současné době pak WPA2.

WEPplus

WEPplus (někdy označován jako WEP+) je vylepšení původního WEP zabezpečení od Agere Systems, které se snaží odstranit takzvané slabé inicializační vektory, pomocí kterých může útočník velmi rychle spočítat použitý šifrovací klíč použité proudové šifry RC4 a může tak nejen bezdrátový provoz odposlouchávat, ale může se do bezdrátové sítě zabezpečené pomocí WEP i připojit. Pokud však není WEPplus na všech komunikujících stranách v bezdrátové síti, nemá toto zabezpečení výhody oproti běžnému WEP.

WEP2

Vylepšení původního WEP zabezpečení, které se snaží odstranit bezpečností nedostatky původního WEP. WEP2 rozšiřuje inicializační vektory a zesiluje 128bitové šifrování. Používal se na zařízeních, na kterých nebylo možné provozovat novější WPA nebo WPA2 zabezpečení. WEP2 má však stejné bezpečnostní problémy jako WEP, jen útočníkovi zabere více času.

WPA

Aby Wi-Fi Alliance poskytla co nejrychleji řešení nedostatků WEP, adoptovala v roce 2002 část nadcházejícího standardu IEEE 802.11i pod obchodním názvem WPA (Wi-Fi Protected Access).^[7] WPA používá interně WEP (a tudíž i šifru RC4), avšak pomocí protokolu TKIP byly tyto nedostatky odstraněny. Později však bylo i WPA prolomeno kvůli nedostatkům samotného WEP. WPA bylo nahrazeno zabezpečením WPA2, které implementuje zbývající mandatorní prvky standardu IEEE 802.11i.